Pointsharp utför revision av samtliga RA-organisationer inför anslutning. Revision kan även ske på ett riskbaserat urval samt genom stickprov.
För att bli ansluten till Tjänsten Pointsharp Net iD måste RA-organisationen lämna in en ansökan i form av en tillitsdeklaration. Tillitsdeklarationen granskas sedan av Pointsharp service Policy Team (PsPT) och om den anses uppfylla kraven som den ställer kommer ett platsbesök att genomföras. Då kan Pointsharp på plats se om RA-organisationen utför det man uppgett i sin tillitsdeklaration på det sätt som man beskrivit det.
Platsbesöket tar en dag i anspråk. För schema, se Revisionsplan för RA.
Det riskbaserade urvalet grundar sig på observationer av områden som Pointsharp identifierat som problematiska och är i behov av en djupare översyn, alternativt specifika RA-organisationer som vi anser oss ha anledning att kontrollera.
Underlaget för det riskbaserade urvalet har sitt ursprung i observationer gjorda i:
revisionen av RA-organisationen inför anslutning,
RA-organisationernas årliga tillitsdeklaration,
RA-organisationernas årliga internrevision, samt
nya regulatoriska krav i Tillitsramverk för Svensk e-legitimation framtagen av Myndigheten för Digital Förvaltning (Digg)
Revisionen för det riskbaserade urvalet kan omfatta både specifika områden samt specifika RA-organisationer beroende på vad som ligger till grund för urvalet. Revisioner kan ofta genomföras genom distansmöte.
Revisioner i stickprovsurvalet har till syfte att identifiera avvikelser och för oss okända risker inom områden Pointsharp annars hade kunnat bedöma inte hade behövt riktade granskningar. Detta skiljer sig från det riskbaserade urvalet som mer utgår från områden med risker etc. som Pointsharp redan är medvetna om.